Ada fitur kecil yang bagus di dalam Windows yang memungkinkan Anda untuk melacak ketika seseorang melihat, mengedit, atau menghapus sesuatu di dalam folder tertentu. Jadi jika ada folder atau file yang ingin Anda ketahui siapa yang mengakses, maka ini adalah metode bawaan tanpa harus menggunakan perangkat lunak pihak ketiga.
Fitur ini sebenarnya adalah bagian dari fitur keamanan Windows yang disebut Kebijakan Grup, yang digunakan oleh sebagian besar Profesional TI yang mengelola komputer di jaringan perusahaan melalui server, namun, itu juga dapat digunakan secara lokal di PC tanpa server. Satu-satunya downside untuk menggunakan Kebijakan Grup adalah bahwa itu tidak tersedia di versi Windows yang lebih rendah. Untuk Windows 7, Anda harus memiliki Windows 7 Professional atau lebih tinggi. Untuk Windows 8, Anda perlu Pro atau Enterprise.
Istilah Kebijakan Grup pada dasarnya mengacu pada satu set pengaturan registri yang dapat dikontrol melalui antarmuka pengguna grafis. Anda mengaktifkan atau menonaktifkan berbagai pengaturan dan pengeditan ini kemudian diperbarui di registri Windows.
Di Windows XP, untuk mendapatkan editor kebijakan, klik Mulai lalu Menjalankan. Di kotak teks, ketik “gpedit.msc”Tanpa tanda kutip seperti yang ditunjukkan di bawah ini:
Di Windows 7, Anda cukup mengeklik tombol dan ketik Mulai gpedit.msc ke dalam kotak pencarian di bagian bawah Menu Mulai. Di Windows 8, cukup masuk ke Layar Mulai dan mulai mengetik atau gerakkan kursor mouse Anda ke ujung atas atau kanan bawah layar untuk membuka Pesona bar dan klik Pencarian. Lalu ketikkan saja gpedit. Sekarang Anda akan melihat sesuatu yang mirip dengan gambar di bawah ini:
Ada dua kategori kebijakan utama: Pengguna dan Komputer. Seperti yang Anda duga, kebijakan pengguna mengontrol pengaturan untuk setiap pengguna sedangkan pengaturan komputer akan menjadi pengaturan lebar sistem dan akan mempengaruhi semua pengguna. Dalam kasus kami, kami ingin pengaturan kami untuk semua pengguna, jadi kami akan memperluas Konfigurasi Komputer bagian.
Terus berkembang ke Pengaturan Windows -> Pengaturan Keamanan -> Kebijakan Lokal -> Kebijakan Audit. Saya tidak akan menjelaskan banyak pengaturan lain di sini karena ini terutama difokuskan pada pengauditan folder. Sekarang Anda akan melihat serangkaian kebijakan dan pengaturannya saat ini di sisi kanan. Kebijakan audit adalah yang mengendalikan apakah sistem operasi dikonfigurasi dan tidak siap untuk melacak perubahan.
Sekarang periksa pengaturan untuk Akses Objek Audit dengan mengklik ganda dan memilih keduanya Keberhasilan dan Kegagalan. Klik OK dan sekarang kita sudah selesai bagian pertama yang memberitahu Windows bahwa kita ingin itu siap untuk memantau perubahan. Sekarang langkah selanjutnya adalah memberitahukannya apa yang sebenarnya ingin kita lacak. Anda dapat menutup konsol Kebijakan Grup sekarang.
Sekarang arahkan ke folder menggunakan Windows Explorer yang ingin Anda pantau. Di Explorer, klik kanan pada folder dan klik Properties. Klik pada Tab Keamanan dan Anda melihat sesuatu yang mirip dengan ini:
Sekarang klik pada Maju tombol dan klik pada Auditing tab. Di sinilah kita akan benar-benar mengkonfigurasi apa yang ingin kita monitor untuk folder ini.
Silakan dan klik Menambahkan tombol. Dialog akan muncul meminta Anda untuk memilih Pengguna atau Grup. Di kotak, ketik kata “pengguna"Dan klik Periksa Nama. Kotak akan secara otomatis memperbarui dengan nama grup pengguna lokal untuk komputer Anda di formulir COMPUTERNAME \ Users.
Klik OK dan sekarang Anda akan mendapatkan dialog lain yang disebut “Entri Audit untuk X“ Ini adalah daging asli dari apa yang sudah lama ingin kita lakukan. Di sinilah Anda akan memilih apa yang ingin Anda tonton untuk folder ini. Anda dapat secara individu memilih jenis aktivitas yang ingin Anda lacak, seperti menghapus atau membuat file / folder baru, dll. Untuk mempermudah, saya sarankan memilih Kontrol Penuh, yang akan secara otomatis memilih semua opsi lain di bawahnya. Lakukan ini untuk Keberhasilan dan Kegagalan. Dengan cara ini, apa pun yang dilakukan ke folder itu atau file di dalamnya, Anda akan memiliki catatan.
Sekarang klik OK dan klik OK lagi dan OK satu kali lagi untuk keluar dari beberapa kotak dialog. Dan sekarang Anda telah berhasil mengonfigurasikan audit pada folder! Jadi Anda mungkin bertanya, bagaimana Anda melihat peristiwa itu?
Untuk melihat acara, Anda harus pergi ke Control Panel dan klik Alat administrasi. Kemudian buka Event Viewer. Klik pada Keamanan dan Anda akan melihat daftar besar acara di sisi kanan:
Jika Anda terus maju dan membuat file atau cukup buka folder dan klik tombol Segarkan di Peraga Peristiwa (tombol dengan dua panah hijau), Anda akan melihat banyak kejadian dalam kategori Berkas sistem. Ini berkaitan dengan operasi menghapus, membuat, membaca, menulis pada folder / file yang Anda audit. Di Windows 7, semuanya sekarang muncul di bawah kategori tugas Sistem File, jadi untuk melihat apa yang terjadi, Anda harus mengklik masing-masing dan menggulirnya.
Untuk membuatnya lebih mudah untuk melihat melalui banyak peristiwa, Anda dapat menempatkan filter dan hanya melihat hal-hal penting. Klik pada Melihat menu di bagian atas dan klik Filter. Jika tidak ada pilihan untuk Filter, kemudian klik kanan pada log Keamanan di halaman sebelah kiri dan pilih Filter Log Saat Ini. Dalam kotak ID Peristiwa, ketik nomornya 4656. Ini adalah acara yang terkait dengan pengguna tertentu yang melakukan Berkas sistemtindakan dan akan memberi Anda informasi yang relevan tanpa harus melihat melalui ribuan entri.
Jika Anda ingin mendapatkan informasi lebih banyak tentang suatu peristiwa, cukup klik dua kali untuk melihatnya.
Ini adalah informasi dari layar di atas:
Sebuah pegangan untuk suatu objek diminta.
Subyek:
ID Keamanan: Aseem-Lenovo \ Aseem
Nama Akun: Aseem
Akun Domain: Aseem-Lenovo
ID Logon: 0x175a1
Obyek:
Server Obyek: Keamanan
Jenis Objek: File
Nama Objek: C: \ Users \ Aseem \ Desktop \ Tufu \ Teks Baru Document.txt
Menangani ID: 0x16a0
Informasi Proses:
ID Proses: 0x820
Nama Proses: C: \ Windows \ explorer.exe
Akses Informasi Permintaan:
ID Transaksi: 00000000-0000-0000-0000-000000000000
Mengakses: DELETE
SYNCHRONIZE
ReadAttributes
Pada contoh di atas, file yang dikerjakan adalah New Text Document.txt di folder Tufu di desktop saya dan akses yang saya minta adalah DELETE diikuti oleh SYNCHRONIZE. Apa yang saya lakukan di sini adalah menghapus file. Berikut contoh lainnya:
Jenis Objek: File
Nama Objek: C: \ Users \ Aseem \ Desktop \ Tufu \ Alamat Labels.docx
Menangani ID: 0x178
Informasi Proses:
ID Proses: 0x1008
Nama Proses: C: \ Program Files (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE
Akses Informasi Permintaan:
ID Transaksi: 00000000-0000-0000-0000-000000000000
Mengakses: READ_CONTROL
SYNCHRONIZE
ReadData (atau ListDirectory)
WriteData (atau AddFile)
AppendData (atau AddSubdirectory atau CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttribut
Alasan Akses: READ_CONTROL: Diberikan oleh Kepemilikan
SYNCHRONIZE: Diberikan oleh D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)
Ketika Anda membaca ini, Anda dapat melihat saya mengakses Address Labels.docx menggunakan program WINWORD.EXE dan akses saya termasuk READ_CONTROL dan alasan akses saya juga READ_CONTROL. Biasanya, Anda akan melihat lebih banyak akses, tetapi fokuslah pada yang pertama karena biasanya ini adalah jenis akses utama. Dalam hal ini, saya cukup membuka file menggunakan Word. Itu membutuhkan sedikit pengujian dan membaca peristiwa untuk memahami apa yang terjadi, tetapi setelah Anda memilikinya, itu adalah sistem yang sangat andal. Saya sarankan membuat folder uji dengan file dan melakukan berbagai tindakan untuk melihat apa yang muncul di Peraga Peristiwa.
Itu cukup banyak! Cara cepat dan gratis untuk melacak akses atau perubahan ke folder!
